Neue Versionen, Breaking Changes, nachgerüstete Plugins — Keycloak-Betrieb in Produktion kostet mehr als er sollte. Es gibt einen anderen Weg.

Keycloak ist ein mächtiger Standard — keine Frage. Die eigentliche Frage ist, was Keycloak-Betrieb kostet: an Zeit, an Risiko, an internen Ressourcen.
Jedes neue Keycloak-Release bedeutet: Changelog lesen, Breaking Changes prüfen, testen, Rollout koordinieren — und das mehrmals pro Jahr. Wer eigene Extensions gebaut hat, prüft zusätzlich Kompatibilität. Wer SCIM nachgerüstet hat, betet, dass das Plugin mitzieht. Das ist kein Vorwurf an Keycloak — das ist die Realität von Open-Source in einer kritischen Infrastrukturkomponente.


Bare.ID ist die IAM-Plattform auf Keycloak-Basis — kein Ersatz, sondern ein Aufbau auf den Open-Source-Kern. Der Open-Source-Kern bleibt erhalten, Bare.ID übernimmt Betrieb, Updates und Hochverfügbarkeit. Gleichzeitig ergänzt Bare.ID um die Enterprise-Features, die Keycloak selbst nicht mitbringt: SCIM nativ, Per-App-Branding as Data, Identity Lifecycle Management, einen Security Score, um die eigene IAM-Konfiguration zu bewerten und vieles mehr. Ein Rückwechsel auf eine reine Keycloak-Instanz ist jederzeit möglich — ohne proprietäre Abhängigkeiten.
Die Rheinbahn betrieb Keycloak selbst — und kam an einen Punkt, wo der Aufwand für Updates, Konfiguration und Betrieb das Team dauerhaft belastete. Die Entscheidung für Bare.ID fiel nach einer technischen Evaluation: gleiche Technologiebasis, kein Datenverlust, kein proprietärer Pfad. Die Migration der bestehenden Keycloak-Installation dauerte drei Tage — inklusive Übergabe des Betriebs an das Bare.ID-Team.

Bare.ID baut auf dem etablierten Open-Source-Standard Keycloak auf. Bestehende Installationen können in kurzer Zeit übernommen und weitergeführt werden – ohne Vendor Lock-In.
Entwicklung, Hosting und Support erfolgen vollständig in Deutschland – für volle Kontrolle, Rechtssicherheit und echte digitale Souveränität.
Bare.ID versteht die Anforderungen von KRITIS-nahen Organisationen, öffentlichem Sektor und Privatwirtschaft. Dies erleichtert die Integration in die bestehende IT-Landschaften enorm.
KuppingerCole zeichnet Bare.ID für Innovation und Wachstumspotenzial aus.


Bare.ID ist ein spezialisiertes Team — kein Generaldienstleister. Wer bei uns anruft, spricht mit jemandem der Keycloak und dein Set-Up wirklich kennt.
Entwicklung, Betrieb und Support erfolgen ausschließlich in Deutschland. Unsere Prozesse sind ISO/IEC 27001-zertifiziert. Ausgegründet aus der AOE Gruppe mit über 250 Mitarbeitenden verbinden wir IAM-Tiefe mit der Stabilität eines etablierten Technologieunternehmens.
Für Administratoren und Entwickler bieten wir ein umfassendes technisches Handbuch und API-Dokumentationen.
Transparente Konfiguration, offene Schnittstellen und klare Best Practices ermöglichen eigenständiges Arbeiten – ohne Blackbox.

Sie haben noch weitere Fragen? Vereinbaren Sie gerne ein unverbindlichen Call.
Ja. Bare.ID bewertet bestehende IAM- und Keycloak-Setups, identifiziert technische und organisatorische Risiken und plant realistische Migrationspfade. Dabei adressieren wir typische Keycloak-Herausforderungen wie häufige Updates, Betriebsaufwand, individuelle Erweiterungen und komplexe Konfigurationen, um eine stabile und nachvollziehbare Umstellung sicherzustellen.
Ja. Bare.ID nutzt Keycloak als technischen Kern und hält die Plattform kontinuierlich auf dem aktuellen Stand. Dadurch können auch Keycloak-spezifische Themen wie Federation-Konfigurationen, Policies, Tokenflows, Implementierungsdetails oder Migrationspfade unterstützt werden.
Ja. Bare.ID implementiert SCIM 2.0 für automatisiertes Provisioning und De-Provisioning. Damit lassen sich Benutzerkonten aus HR-Systemen und Verzeichnisdiensten automatisch anlegen, aktualisieren und entfernen.
Ja. Bare.ID kann als SaaS, in hybriden Umgebungen, Self-Hosted oder vollständig On-Premises betrieben werden – je nach (Sicherheits-)anforderungen, IT-Strategie und regulatorischem Rahmen. Dabei sind alle Bare.ID Versionen für alle Betriebsmodelle identisch. Daher stehen auch alle Funktionalitäten in allen Modellen ohne zeitliche Releaseverschiebung zur Verfügung.
Bare.ID kann sich über SCIM, LDAP, SAML oder OpenID Connect mit bestehenden Identitätsquellen synchronisieren. Änderungen in den Quellsystemen werden automatisch übernommen. So lassen sich bestehende Identitätsquellen weiterverwenden, ohne sie ablösen zu müssen.
So einfach geht's: